[IITR – 26.8.19] Die ISO 27001/27002 befasst sich bekanntlich mit der IT-Sicherheit. Für Ostern dieses Jahres war als Ergänzung eine ISO 27552 angekündigt, welche den Datenschutz behandeln sollte. Nun ist sie da. Allerdings trägt sie die Bezeichnung ISO 27701 und wird als globales Privacy Management System aufbauend auf einer bestehenden Zertifizierung nach ISO27001/27002 vorgestellt. Die ersten ausländischen Unternehmen werden bereits danach zertifiziert.
Ein Blick auf diese neue Norm
Zunächst ist es begrüßenswert, von der ISO (International Organization for Standardization) die Struktur für ein Datenschutz-Management-System zu erhalten. Wir halten Datenschutz-Management-Systeme für notwendig, wie wir hier vor wenigen Tagen begründet hatten. Unternehmen müssen auf ein Datenschutz-Management-System zurückgreifen, um den Bestimmungen der DSGVO u.a. hinsichtlich Dokumentationsverpflichtungen sowie Nachvollziehbarkeit entsprechen zu können.
Wir hatten eine Vermutung formuliert, wonach selbst die Software-getriebene Organisation des betrieblichen Datenschutzes in großen Unternehmen nicht wird vermeiden können, zusätzlich ein Datenschutz-Management-System aufsetzen zu müssen. Ein bedeutender Anbieter mit Sitz in London und Alabama ist unter den ersten, der sein Angebot für Datenschutz-Software um ein Privacy Management System nach ISO 27701 erweitert hat. Dies stützt unsere Vermutung, wonach Datenschutz- Strukturen in Unternehmen ohne die zusätzliche Einbindung eines Datenschutz-Management-System als unzureichend empfunden werden dürften.
DSGVO: keine Zertifizierung von Management-Systemen?
Die DSGVO sieht eine Zertifizierung von Datenschutz- Management- Systemen ausdrücklich nicht vor. Die bisherige Auslegung der DSGVO durch den Europäischen Datenschutz-Ausschuss hat nicht erkennen lassen, eine Zertifizierung von Management-Systemen für Datenschutz-Strukturen in Unternehmen einführen zu wollen. Gründe dazu mag es geben, die zumindest wir jedoch nicht kennen. Man mag sich an Äußerungen der vormals zuständigen EU-Kommissarin Viviane Reding aus der Vorzeit des EU Datenschutzes erinnern, und diese durch aktuelle Verlautbarungen der EU-Kommission über die mögliche Zukunft des Zertifizierungswesens im Datenschutz ergänzen: für den Moment gilt, daß Management-Systeme für den Geltungsbereich der DSGVO nicht zertifiziert werden. Daran ändert die neue ISO 27701 nichts, selbst wenn London diesem Geltungsbereich angeschlossen bleiben sollte. Was nicht sicher zu sein scheint.
Voraussetzungen für Zertifizierungen
Die neue Norm endet mit einer „1“. Damit kann diese Norm zur Grundlage für Zertifizierungs-Angebote aus dem ISO-Umfeld herangezogen werden. Die kollegiale Abstimmung zwischen Datenschutz- und Zertifizierungs-Behörden lässt es im Geltungsbereich der EU unwahrscheinlich erscheinen, wonach staatliche Zertifizierungsstellen hierbei vorangehen und aufgrund ihrer eigenen Zertifizierungs-Kompetenz die notwendigen Verfahren zur Verfügung stellen, um – allein auf Basis einer ISO 27701 – zu anerkannten Datenschutz-Management-Systemen zu gelangen, sowie hierfür Unternehmen für die Zertifizierung zu akkreditieren.
Einsatz der ISO 27701
Für einige Unternehmen ist es wichtig, zu ihrer bereits bestehenden ISO 27001 noch eine ISO 27701 Zertifizierung hinzuzufügen. Die zu Grunde liegende ISO 27001 – eine Norm für Informationssicherheit – richtet sich vor allem an große Unternehmen, sowie Unternehmen mit einer besonders datenschutzrelevanten Betätigung, die sich diese aufwendigen Zertifizierungen leisten wollen, oder leisten müssen. Das ist nicht nur eine Preisfrage. Viele – aus unserer Sicht die Mehrheit der kleineren Unternehmen – würden damit auch nach Einführung dieser ISO 27701 ohne ein Datenschutz-Management-System bleiben, weil sie keine ISO 27001 vorweisen können.
Was ist derzeit greifbar?
Die beachtliche Komplexität der Materie, die zu erwartenden Kosten sowie die nicht vollständig zufriedenstellende Zertifizierungs-Situation ergaben jene Impulse, die bei uns zur Entwicklung des Compliance-Kit 2.0 als Datenschutz-Management System führten.
Sollten irgendwann Datenschutz-Management-Systeme – vielleicht auf Grundlage der ISO 27701 – offiziell auch unter der DSGVO zertifiziert werden, so wird das Compliance Kit 2.0 dieser Zulassung zugeführt werden. Von vornherein aufgebaut nach ISO High Level Structure, trägt es ohnehin bereits die Strukturen einer ISO-Norm.
Solange keine Zertifizierungen für Management-Systemen im Geltungsbereich der DSGVO vorgesehen sind, stellt eine privatrechtliche Zertifizierung z.B. auf Grundlage des Compliance-Kit 2.0 das derzeit Mögliche dar. Das Compliance-Kit 2.0 hat zusätzlich eine Bestätigung durch dazu berechtigte und vereidigte Sachverständige erhalten, dass es die Vorgaben der DSGVO korrekt abbildet.
Für den Geltungsbereich der DSGVO geht eine derartige Bestätigung womöglich über das hinaus, was eine ISO 27701 derzeit bietet. Diese wird zwar mit einer globalen Gültigkeit beworben, was den Geltungsbereich nach Art. 42 DSGVO jedoch derzeit nicht einschließt.
Darüber hinaus ist das Compliance-Kit 2.0 darauf ausgelegt, auf Grundlage sämtlicher, also auch „globaler“ Datenschutz-Vorschriften die Datenschutz- Belange eines Unternehmens verwalten zu können. Sowohl ISO 27001 – als auch vor allem die ISO 27701 – sind in das Compliance-Kit 2.0 integrierbar.
Fazit:
- Die DSGVO sieht nach Artikel 42 keine Zertifizierung von Management-Systemen vor
- ISO 27701 als Management-System kann im Geltungsbereich der DSGVO ihre Wirkung nicht voll entfalten
- ISO 27701 als Management- System kann für kleinere Unternehmen keine Anziehung entwickeln, da sie derzeit auf einer Zertifizierung nach ISO 27001/27002 aufbaut
- Dennoch begrüßen wir die Möglichkeit, zumindest global auf die Normierung eines Management-Systems zur Organisation von Datenschutz-Strukturen zugreifen zu können
- ISO 27701 kann in das Compliance-Kit 2.0 integriert werden
Weitere Informationen:
- Normtext ISO/IEC 27701:2019
- World’s first global privacy management standard hits the mainstream
- Anschluss unter 27701
- Datenschutz-Management-System: Zertifizierung Compliance-Kit 2.0
Autor:
Eckehard KraskaKontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer DatenschutzbeauftragterTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.